L'impatto sulle minacce generalmente si riferisce all'impatto su Riservatezza, disponibilità o integrità per l'organizzazione, il sistema o il set di dati.
L'impatto sul business è una stima del danno all'organizzazione in un senso a lungo termine. Nella maggior parte dei casi, questo termine si riferisce solo all'impatto finanziario effettivo, ma in alcuni casi può includere molte altre dimensioni, come il posizionamento sul mercato.
In molti casi, questi due impatti sono frequentemente rappresentati graficamente come un accesso X e Y per dare all'azienda una visione migliore di come molti dei rischi per un'azienda si confrontano.
Metti semplicemente la ragione per cui vuoi che ci siano attività aziendali che possono essere completamente distrutte o prese non in linea, il che non avrebbe quasi alcun effetto sul business. Se in questo caso ci fosse una vulnerabilità critica davvero facile da sfruttare, potresti classificarla come (Impatto sulle minacce ALTO, Impatto aziendale BASSA)
... e allo stesso tempo se questa azienda avesse altri servizi che, se fossero anche leggermente danneggiati o eliminati, genererebbero un enorme impatto sull'azienda e tali servizi presentavano una vulnerabilità molto piccola che non avrebbe causato una perdita di dati, ma potrebbe rallentare radicalmente il sito in basso, potreste classificarlo come (Minaccia impatto LOW, impatto aziendale ALTO)
Piuttosto che un'azienda che classifica tutte le risorse allo stesso modo e cerca di proteggere tutte le risorse allo stesso modo, o di andare oltre i problemi di impatto HIGH Threat, è più importante dare la priorità a quelle che potrebbero avere il maggiore impatto sul business.
Avere valutazioni separate come questa aiuta le aziende e i team di sicurezza a concentrare meglio tempo e denaro.